Google đơn giản hóa việc thiết lập xác thực 2 yếu tố

Google hôm thứ Hai đã thông báo rằng họ đang đơn giản hóa quy trình kích hoạt xác thực hai yếu tố (2FA) cho người dùng có tài khoản cá nhân và Workspace.

Còn được gọi là Xác minh 2 bước (2SV), nó nhằm mục đích bổ sung thêm một lớp bảo mật cho tài khoản của người dùng để ngăn chặn các cuộc tấn công chiếm đoạt trong trường hợp mật khẩu bị đánh cắp.

Thay đổi mới đòi hỏi phải thêm phương pháp bước thứ hai, chẳng hạn như ứng dụng xác thực hoặc khóa bảo mật phần cứng, trước khi bật 2FA, do đó loại bỏ nhu cầu sử dụng xác thực dựa trên SMS kém an toàn hơn.

Công ty cho biết: “Điều này đặc biệt hữu ích cho các tổ chức sử dụng Google Authenticator (hoặc các ứng dụng mật khẩu một lần (TOTP) dựa trên thời gian tương đương khác). "Trước đây, người dùng phải kích hoạt 2SV bằng số điện thoại trước khi có thể thêm Authenticator."

Người dùng có khóa bảo mật phần cứng có hai tùy chọn để thêm chúng vào tài khoản của họ, bao gồm bằng cách đăng ký thông tin xác thực FIDO1 trên khóa phần cứng hoặc bằng cách gán mật mã (tức là thông tin xác thực FIDO2) cho một khóa.

Google lưu ý rằng các tài khoản Workspace có thể vẫn phải nhập mật khẩu cùng với mật mã nếu chính sách quản trị viên về "Cho phép người dùng bỏ qua mật khẩu khi đăng nhập bằng cách sử dụng mật khẩu" bị tắt.

Trong một bản cập nhật đáng chú ý khác, những người dùng chọn tắt 2FA khỏi cài đặt tài khoản của họ giờ đây sẽ không còn tự động bị xóa các bước thứ hai đã đăng ký nữa.

Google cho biết: “Khi quản trị viên tắt 2SV cho người dùng từ Bảng điều khiển dành cho quản trị viên hoặc thông qua SDK dành cho quản trị viên, các yếu tố thứ hai sẽ bị xóa như trước để đảm bảo quy trình làm việc của người dùng không bị ảnh hưởng”.

Sự phát triển này diễn ra khi gã khổng lồ tìm kiếm cho biết hơn 400 triệu tài khoản Google đã bắt đầu sử dụng mật khẩu trong năm qua để xác thực không cần mật khẩu.

Các phương pháp và tiêu chuẩn xác thực hiện đại như FIDO2 được thiết kế để chống lại các cuộc tấn công lừa đảo và chiếm quyền điều khiển phiên bằng cách tận dụng các khóa mật mã được tạo và liên kết với điện thoại thông minh và máy tính để xác minh người dùng thay vì mật khẩu có thể dễ dàng bị đánh cắp thông qua phần mềm độc hại thu thập thông tin xác thực hoặc đánh cắp thông tin xác thực.

Tuy nhiên, nghiên cứu mới của Silverfort đã phát hiện ra rằng kẻ đe dọa có thể lách FIDO2 bằng cách dàn dựng một cuộc tấn công của kẻ thù ở giữa (AitM) có thể chiếm quyền điều khiển phiên của người dùng trong các ứng dụng sử dụng giải pháp đăng nhập một lần (SSO) như Microsoft Entra ID, PingFederate và Yubico.

Nhà nghiên cứu bảo mật Dor Segal cho biết: “Một cuộc tấn công MitM thành công sẽ làm lộ toàn bộ nội dung yêu cầu và phản hồi của quá trình xác thực”.

"Khi quá trình này kết thúc, kẻ tấn công có thể lấy được cookie trạng thái được tạo và chiếm quyền điều khiển phiên từ nạn nhân. Nói một cách đơn giản, ứng dụng sẽ không có xác thực nào sau khi quá trình xác thực kết thúc."

Cuộc tấn công có thể xảy ra do thực tế là hầu hết các ứng dụng không bảo vệ mã thông báo phiên được tạo sau khi xác thực thành công, do đó cho phép kẻ xấu có được quyền truy cập trái phép.

Hơn nữa, không có xác thực nào được thực hiện trên thiết bị đã yêu cầu phiên, nghĩa là bất kỳ thiết bị nào cũng có thể sử dụng cookie cho đến khi cookie hết hạn. Điều này giúp có thể bỏ qua bước xác thực bằng cách lấy cookie bằng một cuộc tấn công AitM.

Để đảm bảo rằng phiên xác thực chỉ được sử dụng bởi khách hàng, bạn nên áp dụng một kỹ thuật được gọi là liên kết mã thông báo, cho phép các ứng dụng và dịch vụ liên kết mã hóa mã thông báo bảo mật của chúng với lớp giao thức Transport Layer Security (TLS).

Mặc dù tính năng liên kết mã thông báo hiện bị giới hạn ở Microsoft Edge, nhưng tháng trước Google đã công bố một tính năng mới trong Chrome có tên là Thông tin xác thực phiên ràng buộc thiết bị (DBSC) để giúp bảo vệ người dùng khỏi các cuộc tấn công đánh cắp cookie phiên và chiếm quyền điều khiển.

Hương – Theo TheHackerNews